Die steigende Zahl von Naturkatastrophen macht Disaster Recovery auch hierzulande essenziell. Durch die potenzielle Komplexität der Hybrid-Cloud-Einführung wird eine durchdachte Disaster-Recovery-Strategie wichtiger denn je.
Nicht erst seit der Flutkatastrophe im Ahrtal steht fest, dass der Klimawandel auch vor Deutschland und Europa keinen Halt macht. Immer häufiger wird es im Zuge der globalen Erderwärmung zu Naturphänomenen kommen, die für Mensch und die technische Infrastruktur einschneidende Folgen nach sich ziehen. Seien es Überschwemmungen, Waldbrände oder Tornados, all diese Ereignisse lassen sich in den letzten Jahren auch hierzulande verstärkt beobachten.
Und auch Unternehmen werden bei Naturkatastrophen regelmäßig in Mitleidenschaft gezogen. Insbesondere, wenn deren Datenbestand beispielsweise durch eine Flut oder einen Brand betroffen sind, ist das wirtschaftliche Überleben einer Firma sehr schnell gefährdet. Neben kleinen und mittleren Betrieben, die häufig nicht über ein ausgeklügeltes Konzept zur Datensicherheit verfügen, betrifft dieses Risiko aber auch Großunternehmen, sofern sie das Thema Notfallwiederherstellung vernachlässigen. Höchste Zeit also, Disaster Recovery entsprechende Priorität einzuräumen.
Schutz vor Extremwetterereignissen wird immer wichtiger. Unternehmen sollten immer von der Annahme ausgehen, dass Daten einer ständigen Bedrohung unterliegen, sei es durch Hardwareausfälle, menschliches Versagen, Datenschutzverstöße, Ransomware-Angriffe oder eben Naturkatastrophen. Nach Angaben des UN-Büros für Katastrophenvorsorge (UN Office on Disaster Risk Reduction, UNDRR) treten letztere immer häufiger auf. Die Zahl der weltweiten Katastrophenereignisse hat sich in den letzten 20 Jahren fast verdoppelt.
Zwar hoffen Menschen im Regelfall auf das Beste, aber gerade im geschäftlichen Umfeld – und vor allem, wenn es um den Schutz von Daten, Systemen und Anwendungen geht – ist es jedoch weitaus sinnvoller, auch auf das Schlimmste vorbereitet zu sein. Zweifelsohne ist es in diesem Zusammenhang nicht zielführend, den eigenen Serverraum absichtlich zu fluten, nur um zu überprüfen, welche Folgen ein Extremwetterereignis nach sich ziehen würde. Allerdings gibt es eine Reihe praktischer Schritte, die die Verantwortlichen stattdessen unternehmen sollten, um sicherzustellen, dass ihre Notfallpläne funktionieren und sich diese umsetzen lassen.
Der Notfallplan. Der erste wichtige Schritt auf dem Weg in Richtung eines Disaster-Recovery-Plans besteht darin, bereits in der Anfangsphase der Erstellung eine Bestandsaufnahme aller vom Unternehmen genutzten IT-Ressourcen durchzuführen – dies schließt auch etwaige Cloud-Ressourcen mit ein. Die Übersicht, welche Server, Storage, Anwendungen, Daten, Netzwerk-Switches, Access-Points oder Netzwerkgeräte genutzt werden, bildet die Grundlage, um im Schadensfall eine umfassende Analyse durchzuführen. Dabei darf nicht vergessen werden, Informationen zur Anbindung, dem Ort und gegebenenfalls Abhängigkeiten der entsprechenden Komponente ebenfalls zu erfassen.
Im Anschluss daran folgt die Überprüfung der einzelnen Elemente hinsichtlich des Risikos eines Ausfalls, wobei dieses entsprechend seiner Wahrscheinlichkeit bewertet wird. Als nächstes sollten sich die Verantwortlichen darauf konzentrieren, alle Daten und Anwendungen näher zu beleuchten und abzuschätzen, wie kritisch sie für den Geschäftsablauf sind. Die IT-Teams sollten dazu in Abstimmung mit den Abteilungen und der Geschäftsführung festlegen, welche Daten und Anwendungen für die Aufrechterhaltung des Geschäftsbetriebs erforderlich sind. Der Notfallplan muss in der Folge vorrangig darauf ausgerichtet sein, genau diesen Betrieb sicherzustellen. Ferner sollte der Plan auch detaillierte Überprüfungen umfassen, mit denen selbst weniger wahrscheinliche Datenverlustszenarien aufgedeckt werden können – und bei denen ebenfalls die Infrastruktur von Drittanbietern oder Dienstleistern mit einbezogen werden. Derartige Erkenntnisse sind von unschätzbarem Wert für den Fall, dass eine Wiederherstellung von Daten sowie die Wiederinbetriebnahme von Anwendungen und Diensten mit minimalen Unterbrechungen nötig werden sollte.
Als Basis der Gewichtung von Systemen und Anwendungen bietet sich die Recovery Time Objective (RTO) als Kennzahl an. Diese ergibt sich aus den Kosten, die ein Ausfall eines Systems in einer definierten Zeitspanne verursachen würde. Abhängig von dieser Kennzahl sollte die jeweilige Sicherungsmethode gewählt werden, um sicherzustellen, dass besonders kritische Systeme auch mit der geringsten Wiederherstellungszeit nach einem Schadensereignis wieder in Betrieb genommen werden können.
Auch eine zusätzliche Kennzahl spielt in Sachen Disaster Recovery eine wichtige Rolle: Die Recovery Point Objective (RPO) definiert den maximal akzeptablen Datenverlust, der im Falle einer Katastrophe auftreten darf. Liegt hier eine hohe Toleranz vor, muss eine Datensicherung nur in einem Zeitraum von mehreren Stunden erfolgen. Gelten die Daten jedoch als kritisch – beispielsweise Daten zu Bestellungen im E-Commerce –, beträgt der RPO nur wenige Sekunden. Ausschlaggebend für die Kennzahl ist zudem, welche Aktualisierungsrate der Daten im Verlauf einer bestimmten Zeitspanne vorliegt.
Disaster Recovery und die Cloud. Unternehmen verlagern zunehmend Daten in die Cloud und setzen darüber hinaus auf Multi-Cloud-Strategien. Dies sorgt zwar für eine Vereinfachung bei der IT-Bereitstellung, senkt die Kosten und erhöht die Flexibilität, birgt im gleichen Atemzug aber auch einige neue Herausforderungen für das Systemmanagement. Selbst in durchdachten, fortschrittlichen Hybrid-Cloud-Umgebungen wird es immer wieder zu unvorhergesehenen Ereignissen kommen.
Der verstärkte Einsatz von Software-as-a-Service-Anwendungen (SaaS) hat es Unternehmen im Zuge der Pandemie ermöglicht, vergleichsweise reibungslos auf ein Homeoffice-basierendes Arbeitsmodell umzusteigen. Die auf SaaS-Plattformen gespeicherten Daten müssen jedoch mit den SLAs für Datensicherung und -wiederherstellung in Einklang gebracht werden. Dies ist wichtig, da SaaS-Anbieter für die Verfügbarkeit verantwortlich sind – nicht jedoch für die Datenwiederherstellung. SaaS-Lösungen brauchen also ebenfalls eine Datensicherung.
Eine Migration in Richtung Cloud bedeutet zudem nicht, dass Daten automatisch geschützt sind. Vielmehr hat die potenzielle Komplexität der Hybrid-Cloud-Einführung zur Folge, dass eine Disaster-Recovery-Strategie wichtiger denn je ist. Daher ist es von großer Bedeutung, dass Unternehmen ihren Notfallplan regelmäßig und gründlich testen. Auf diese Weise wird sichergestellt, dass jeder Schritt so abläuft, wie er geplant ist, und alle Beteiligten wissen, welche Rolle sie dabei spielen.
Es kommt auf den richtigen Partner an. Um für den Fall der Fälle gerüstet zu sein und über eine robuste Datensicherung zu verfügen, brauchen Unternehmen einen Technologiepartner, der die Natur ihrer Daten versteht und potenzielle Katastrophenszenarien vorhersehen kann. Zudem muss der entsprechende Technologiepartner, der eine Lösung bereitstellt und implementiert, in der Lage sein, eine omnidirektionale Datenwiederherstellung zu gewährleisten – also von, zu, in, über und zwischen Cloud-Anbietern und -Regionen. Nur dann ist sichergestellt, dass der Kampf gegen IT-Katastrophen nicht unmittelbar zum Kampf ums Überleben des Unternehmens wird.
Christian Keil,
Director, Germany Sales Engineering
bei Commvault